Ielaušanās atklāšanas sistēma (IDS) uzrauga tīkla trafiku un uzrauga aizdomīgas darbības un brīdina sistēmu vai tīkla administratoru. Atsevišķos gadījumos IDS var reaģēt uz anomālām vai ļaunprātīgām datplūsmām, veicot darbības, piemēram, piekļūstot tīklam lietotāja vai avota IP adreses bloķēšanu.
IDS ir dažādas "garšas" un tuvojas mērķim atklāt aizdomīgu datplūsmu dažādos veidos. Ir tīkla bāzētas (NIDS) un resursdatora (HIDS) ielaušanās atklāšanas sistēmas. Ir IDS, kas tiek atrasts, meklējot konkrētus zināmu draudu parakstus - līdzīgi kā antivīrusa programmatūra parasti konstatē un aizsargā pret ļaunprātīgu programmatūru - un ir IDS, kuru nosaka, pamatojoties uz satiksmes tendenču salīdzinājumu pret bāzes līniju un meklē anomālijas. Ir IDS, kas vienkārši uzrauga un brīdina, un ir IDS, kas veic darbību vai darbības, reaģējot uz konstatētiem draudiem. Mēs īsi aplūkosim katru no šiem.
NIDS
Tīkla ielaušanās atklāšanas sistēmas tiek novietotas tīkla stratēģiskajā punktā vai punktos, lai uzraudzītu satiksmi uz visām no tīkla ierīcēm un no tām. Ideālā gadījumā jūs varētu skenēt visu ienākošo un izejošo datplūsmu, taču to var radīt sašaurinājums, kas varētu traucēt kopējo tīkla ātrumu.
HIDS
Host Ielaušanās atklāšanas sistēmas tiek palaistas uz atsevišķiem saimniekiem vai ierīcēm tīklā. HIDS monitorē ienākošos un izejošos paketus tikai no ierīces un brīdinās lietotājus vai administratorus par aizdomīgu darbību noteikšanu
Paraksts pamatots
Paraksts, pamatojoties IDS, uzraudzīs paketes tīklā un salīdzinās tos ar parakstu vai atribūtu datu bāzi no zināmiem ļaunprātīgiem draudiem. Tas ir līdzīgs tam, kā lielākā daļa pretvīrusu programmatūras atklāj ļaunprātīgu programmatūru. Jautājums ir tāds, ka būs novērojama novēlošanās starp jaunu draudu atklāšanu savvaļā un parakstu, lai noteiktu, ka šie draudi tiek piemēroti jūsu IDS. Šajā laika periodā IDS nespēj atklāt jaunos draudus.
Anomālija pamatā
IDS, kura pamatā ir anomālija, uzraudzīs tīkla trafiku un salīdzinās to ar noteiktu bāzlīniju. Bāzes līnija noteiks, kas šim tīklam ir "normāls" - kāda veida joslas platums parasti tiek izmantots, kādi protokoli tiek lietoti, kādi porti un ierīces parasti savienojas ar citu, un brīdina administratoru vai lietotāju, ja tiek konstatēta trafika, kas ir anomāla, vai būtiski atšķiras no bāzes līnijas.
Pasīvā IDS
Pasīvā IDS vienkārši nosaka un brīdina. Ja tiek konstatēta aizdomīga vai ļaunprātīga datplūsma, brīdinājums tiek ģenerēts un nosūtīts administratoram vai lietotājam, un viņiem ir jāveic pasākumi, lai bloķētu darbību vai atbildētu kaut kādā veidā.
Reaktīvā IDS
Reaktīvā IDS ne tikai atklās aizdomīgu vai ļaunprātīgu datplūsmu, bet brīdinās par administratoru, bet veiks iepriekš noteiktas proaktīvas darbības, lai reaģētu uz draudiem. Parasti tas nozīmē, ka tiek bloķēta jebkāda turpmāka tīkla trafika no avota IP adreses vai lietotāja.
Viena no vispazīstamākās un plaši izplatītām ielaušanās atklāšanas sistēmām ir brīvi pieejamais avots, brīvi pieejams Snort. Tas ir pieejams vairākām platformām un operētājsistēmām, tostarp Linux un Windows . Snort ir liels un lojāls, un internetā ir daudz resursu, kur jūs varat iegūt parakstus, lai īstenotu, lai atklātu jaunākos draudus. Citu brīvās programmatūras ielaušanās atklāšanas lietojumprogrammām varat apmeklēt bezmaksas ielaušanās atklāšanas programmatūru .
Starp ugunsmūri un IDS ir smalka līnija. Ir arī tehnoloģija, ko sauc par IPS - Ielaušanās novēršanas sistēma . IPS būtībā ir ugunsmūris, kas apvieno tīkla līmeņa un lietojumprogrammu līmeņa filtrēšanu ar reaģējošu IDS, lai aktīvi aizsargātu tīklu. Šķiet, ka tik ilgi, kamēr notiek ugunsmūri, IDS un IPS iegūst vairāk atribūtu no cita un iztīra līniju vēl vairāk.
Būtībā jūsu ugunsmūris ir jūsu pirmā perimetra aizsardzības līnija. Labā prakse iesaka, lai ugunsmūris būtu skaidri konfigurēta, lai nomestu visu ienākošo datplūsmu, un pēc tam atveriet caurumus, ja nepieciešams. Jums var būt nepieciešams atvērt port 80, lai uzņemtu tīmekļa vietnes vai 21. portālu, lai uzņemtu FTP failu serveri . Katrs no šiem caurumiem var būt nepieciešams no viena viedokļa, bet tie arī ir iespējamie ļaunprātīgās datplūsmas pārnēsātāji, lai ievadītu jūsu tīklu, nevis ugunsmūri bloķē.
Tas ir, kur jūsu IDS nonāktu. Vai jūs ieviešat NIDS visā tīklā vai HIDS savā konkrētajā ierīcē, IDS uzraudzīs ienākošo un izejošo datplūsmu un identificēs aizdomīgas vai ļaunprātīgas datplūsmas, kas var kaut kā apiet ugunsmūri vai to Iespējams, ka jūsu tīklā ir arī izcelsme.
IDS var būt lielisks līdzeklis, lai aktīvi uzraudzītu un aizsargātu jūsu tīklu no ļaunprātīgām darbībām, taču tie arī ir pakļauti nepatiesiem trauksmes signāliem. Izmantojot gandrīz jebkuru IDS risinājumu, kuru jūs ieviesīsit, jums vispirms būs jāinstalē tas "melodija". Jums ir nepieciešams, lai IDS būtu pareizi konfigurēts, lai atpazītu tīkla parasto datplūsmu salīdzinājumā ar to, kas varētu būt ļaunprātīga satiksme, un jums vai administratoriem, kas atbildīgi par atbildēm uz IDS brīdinājumiem, ir jāsaprot, kādi ir brīdinājumi un kā efektīvi reaģēt.